вот

1) Загрузитесь в безопасный режиме (http://safezone.cc/forum/showthread.php?t=19645)
2) В этом режиме

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\WINDOWS\SYSTEM32\WNUMUNG.DLL
zoo %Sys32%\WNUMUNG.DLL
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4BE6A6B95C32E9AD328703826943D554B773CF55193941A866240AD2B8C 17A2D01AC4207A21F7C720F8DD8C 64 Trojan.Win32.Cidox.abzr

; C:\WINDOWS\GIGALAN.TXT
zoo %SystemRoot%\GIGALAN.TXT
addsgn A7B424CC02814B990ED1AAB064C9FAAF5B8AFC423B4EA5C43F5D8A14EB1C48D2941869EB82EE574EB52DA535FAAAF2C00135 D9D8E9660A909FC3169B7DBA98D6 8 Trojan-Banker.Win32.Qhost.absg

breg
bl C699996E3973488F884352A24EBBD1E4 43264
bl 4FE50F308C7D17205F3221E4EB63807D 44032
delall %SystemRoot%\GIGALAN.TXT
delall %Sys32%\WNUMUNG.DLL
chklst
delvir
deltmp
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер [B]может быть перезагружен[/B Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

3) Если после выполнения скрипта будут улучшения сделайте лог полного сканирования MBAM.
4) Если улучшений не заметите, сделайте на всякий случай бэкап базы 1С, затем

Скачайте ComboFix здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://safezone.cc/forum/showthread.php?t=18577). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

после выполнения скрипта в безопасном режими появились улучшения, стали отображаться странички, стали загружаться сайты...

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве (http://safezone.cc/forum/showpost.php?p=134172&postcount=2)

HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\english_11_New_Millennium_English.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Users\Владимир\AppData\Roaming\winzipsoft (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\_todel2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\a.htm (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\bander.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\dir.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\dot.gif (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\htmlayout.dll (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\logo.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\logo2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-h-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-h-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-scroll-back.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-scroll-base.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-scroll-slider.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-v-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\sb-v-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\scroll.css (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\wfont.ttf (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\xsendexe.tmp (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\_todel.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\_todel3.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\_todel4.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\winzipsoft\_todel5.png (Hoax.ArchSMS) -> Действие не было предпринято.


После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

+ Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.